Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Aventuras em ataques sem malware

Até um ataque livre de malware pode ser perigoso para a rede da sua empresa. Conheça os detalhes e evite o compartilhamento de dados de forma inadequada.
Emilia Bertolli
2 minuto de leitura
Publicado 1 de Março de 2018
Ultima atualização 1 de Dezembro de 2023

Para esta publicação, eu estava pronto para detalhar um cenário de ataque mais complicado e sem malware que envolve etapas múltiplas e ameaças persistentes. Então me deparei com um ataque incrivelmente simples e livre de código – nenhuma macro do Word ou do Excel requerida – que, de forma mais eficaz, prova a premissa de que não é tão difícil ingressar no perímetro.

O ataque que descreverei é baseado em uma vulnerabilidade do Microsoft Word que envolve o protocolo Dynamic Data Exchange (DDE).

De volta ao DDE

Alguém se lembra do DDE? Provavelmente não. Foi um protocolo de comunicação interprocessual que permitiu que aplicativos e dispositivos compartilhassem dados.

No passado, o DDE permitiu que os IDs de chamadas passassem para aplicativos de CRM e, em última instância, que estes exibissem um registro de contato do cliente para agentes de call center. Sim, você precisava conectar um cabo RS-232 entre o telefone e o computador.

Como pudemos verificar, nos dias de hoje o Microsoft Word ainda suporta o DDE. O que torna esse ataque efetivamente livre de malware é que o protocolo DDE pode ser acessado diretamente dos códigos de campo do Windows.

O código de campo é outro antigo recurso do Microsoft Word que permite adicionar texto dinâmico e um pouco de programação em um documento. O exemplo mais óbvio disso são os números de página, que podem ser inseridos em um rodapé usando este código de campo {PAGE \ * MERGEFORMAT}.

A idéia era que DDE permitiria que o Word se comunicasse com um aplicativo e, em seguida, incorporasse a saída de dados no documento. Porém, os hackers perceberam que o aplicativo DDE pode ser um comando shell, a partir do qual eles podem fazer qualquer coisa em um ciberataque. O método preferido dos hackers é usar uma variante, o campo DDEAUTO, o qual inicia automaticamente o script quando o documento do Word é aberto.

O hacker pode enviar um e-mail de phishing e incorporar um campo DDEAUTO com um pequeno script PS de primeiro estágio. Então, o CEO da empresa abre o arquivo do Mivrosoft Word, o script incorporado é ativado e o hacker está efetivamente dentro do computador.

DDE e campos

Depois de algumas tentativas, a Microsoft desabilitou o DDE no Word. Pelo que constatamos, a atualização de campo na abertura de um documento está ativada e as macros do Word estão desabilitadas (com notificação) por grupos de TI. Por sinal, é possível encontrar as

configurações relevantes na seção “Opções” do Microsoft Word. Mas vale ressaltar que o Microsoft Word também notifica o usuário quando dados remotos estão sendo acessados, como é o caso do DDE.

É muito difícil encontrar um ambiente Windows não atualizado? Não.

Neste teste, utilizamos o AWS Workspaces para acessar uma área de trabalho e constatamos que foi muito fácil obter uma máquina virtual com versão do Microsoft Office que permite inserir um campo DDEAUTO.

Isso nos faz concluir que, sem dúvida, infelizmente há muitos sites corporativos que ainda não adicionaram o patch de segurança referente ao DDE.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento